Pesquisar registros brutos com a verificação de registros brutos
Quando você faz uma pesquisa, as Operações de segurança do Google examinam primeiro os dados de segurança que foram ingeridos, analisados e normalizados. Se as informações que você está procurando não forem encontradas nos dados normalizados, use a verificação de registro bruto para examinar os registros brutos não analisados. Também é possível usar expressões regulares para examinar mais de perto os registros brutos.
É possível usar a Análise de registro bruto para investigar artefatos que aparecem nos registros, mas não são indexados, incluindo:
- Nomes de usuário
- Nomes de arquivos
- Chaves de registro
- Argumentos de linha de comando
- Dados brutos relacionados à solicitação HTTP
- Nomes de domínio com base em expressões regulares
- Namespaces e endereços de recursos
Verificação de registro bruta
Para usar a verificação de registro bruto, digite uma string de pesquisa no campo de pesquisa na página de destino ou na barra de menu (por exemplo, um hash MD5). Insira pelo menos 4 (incluindo curingas). Se as Operações de segurança do Google não encontrarem a pesquisa ela abre a opção Verificação de registros brutos. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em PESQUISAR.
Verificação de registro bruto na página de destino
Os eventos associados à string de pesquisa são exibidos. É possível abrir registro bruto associado clicando no botão de seta.
Você também pode clicar no menu suspenso "Origens do registro" e selecionar uma ou mais das origens de dados que você está enviando para as Operações de segurança do Google pesquisarem. O a configuração padrão é Todas.
Expressões regulares
Você pode usar expressões regulares para pesquisar e combinar conjuntos de caracteres strings nos dados de segurança usando as Operações de segurança do Google. As expressões regulares permitem que você restrinja sua pesquisa usando fragmentos de informações, em vez de usar, por exemplo, um nome de domínio completo.
Para executar uma pesquisa usando a sintaxe de expressão regular, digite a pesquisa no Search pela expressão regular, verifique a opção Run Query as Regex e clique em PESQUISAR. Sua expressão regular precisa estar entre 4 e 66 caracteres.
Verificação de registros brutos executada como uma expressão regular
A infraestrutura de expressão regular das Operações de segurança do Google é baseada no Google RE2, um mecanismo de expressão regular de código aberto. As operações de segurança do Google usam a mesma sintaxe de expressão regular. Consulte a documentação do RE2 para mais informações.
A tabela a seguir destaca algumas sintaxes comuns de expressões regulares que você pode usar nas pesquisas.
| Qualquer caractere | . |
| x número de caracteres aleatórios | {x} |
| Classe de caracteres | [xyz] |
| Classe de personagem negada | [^xyz] |
| Alfanumérico (0-9, A-Z, a-z) | [[:alnum:]] |
| Ordem alfabética (A-Za-z) | [[:alpha:]] |
| Dígitos (0 a 9) | [[:digit:]] |
| Letra minúscula (a-z) | [[:lower:]] |
| Maiúscula (A-Z) | [[:upper:]] |
| Caracteres de palavra (0-9A-Za-z_) | [[:word:]] |
| Dígito hexadecimal (0-9A-Fa-f) | [[:xdigit:]] |
Os exemplos a seguir ilustram como usar essa sintaxe para pesquisar nos dados:
goo.le\.com: corresponde agoogle.com,goooogle.cometc.goo\w{3}\.com: corresponde agoogle.com,goodle.com,goojle.cometc.[[:digit:]]\.[[:alpha:]]: corresponde a34323.system,23458.office,897.netetc.
Exemplos de expressões regulares para pesquisar registros do Windows
Esta seção fornece strings de consulta de expressão regular que podem ser usadas com a verificação de registro bruto do Google Security Operations para encontrar eventos do Windows monitorados com frequência. Esses exemplos pressupõem que as mensagens de registro do Windows estejam no formato JSON.
Para saber mais sobre os IDs de eventos do Windows monitorados com frequência, consulte o tópico Eventos a serem monitorados (em inglês) na documentação da Microsoft. Os exemplos fornecidos seguem um padrão semelhante, descrito nestes casos de uso.
| Caso de uso: retornar eventos com o EventID 1150 | |
| String de regex: | \"ID do evento\"\:\s*1150 |
| Valores correspondentes: | "EventID":1150 |
| Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 | |
| String Regex | (?:\"EventID\"\:\s*)(?:1150|1151) |
| Valores correspondentes | "EventID":1150 e "EventID":1151 |
| Caso de uso: retornar eventos com um ID de evento 1150 ou 1151 e ThreatID 9092 | |
| String de Regex | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| Valores correspondentes | "EventID":1150 <...qualquer número de caracteres...> "ThreadID":9092
e "EventID":1151 <...qualquer número de caracteres...glt; "ThreadID":9092 |
Encontrar eventos de gerenciamento da conta
Essas strings de consulta de expressão regular identificam eventos comuns de gerenciamento de conta usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Conta de usuário criada | EventID\"\:\s*4720 |
| Conta de usuário ativada | EventID\"\:\s*4722 |
| Conta de usuário desativada | EventID\"\:\s*4725 |
| Conta de usuário excluída | ID do evento\"\:\s*4726 |
| Modificação dos direitos de usuário | EventID\"\:\s*4703 |
| Membro adicionado ao grupo global ativado por segurança | ID do evento\"\:\s*4728 |
| Membro removido do grupo global de segurança ativada | EventID\"\:\s*4729 |
| O grupo global de segurança ativada foi excluído | ID do evento\"\:\s*4730 |
Encontrar eventos de login bem-sucedido
Essas strings de consulta de expressão regular identificam tipos de eventos de logon bem-sucedidos usando os atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Login concluído | ID do evento\"\:\s*4624 |
| Login bem-sucedido: interativo (LogonType=2) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| Sucesso de login: login em lote (LogonType=4) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| Logon concluído: login de serviço (LogonType=5) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| Login concluído: login interativo remoto (LogonType=10) | EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| Sucesso do logon: Interactive, Batch, Service ou RemoteInteractive | (?:EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de falha de login
Essas strings de consulta de expressão regular identificam tipos de eventos de logon com falha usando os atributos EventID e LogonType.
| Tipo de evento | Expressão regular |
| Falha de login | ID do evento\"\:\s*4625 |
| Falha de logon - Interativo (LogonType=2) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| Falha de login: login em lote (LogonType=4) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| Falha de logon: login de serviço (LogonType=5) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| Falha de login: login interativo remoto (LogonType=10) | EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| Falha de logon: Interactive, Batch, Service ou RemoteInteractive | (?:EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
Encontrar eventos de processo, serviço e tarefa
Essas strings de consulta de expressão regular identificam determinados eventos de processo e serviço usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Início do processo | ID do evento\"\:\s*4688 |
| Saída do processo | EventID\"\:\s*4689 |
| Serviço instalado | EventID\"\:\s*4697 |
| Novo serviço criado | EventID\"\:\s*7045 |
| Tarefa programada criada | ID do evento\"\:\s*4698 |
Encontrar eventos relacionados ao acesso a objetos
Essas strings de consulta de expressão regular identificam diferentes tipos de eventos relacionados a processos e serviços usando o atributo EventID.
| Tipo de evento | Expressão regular |
| Registro de auditoria limpo | EventID\"\:\s*1102 |
| Tentativa de acesso a objetos | ID do evento\"\:\s*4663 |
| Compartilhamento acessado | ID do evento\"\:\s*5140 |